Hamis tanúsítványokkal élnek vissza a kiberbűnözők

Számos hamis, károkozásokra alkalmas digitális tanúsítvány került elő, amelyek látszólag olyan vállalatokhoz tartoznak, mint amilyen a Facebook vagy a Google.
 

A digitális tanúsítványokkal történő visszaélések korábban is sok problémát okoztak, hiszen a kiberbűnözés ezek révén próbálta elhitetni a felhasználókkal, hogy teljesen legális szolgáltatásokat vesznek igénybe, illetve eredeti weboldalakon járnak. Ezért aztán a böngészőfejlesztők lépéseket tettek annak érdekében, hogy a hamis vagy éppen a visszavont tanúsítványokra mind hatásosabban hívják fel a figyelmet. Napjainkban a webböngészők már egész oldalas, igencsak szembetűnő figyelmeztetéseket jelenítenek meg, ha egy weboldal SSL-tanúsítványával valami nincs rendben. Sajnos azonban ezek a biztonsági intézkedések sok egyéb szoftver, különösen a mobil alkalmazások esetében még mindig nem történtek meg, amivel nyilvánvalóan a kiberbűnözők is tisztában vannak. Nem is restek bevetni a saját maguk által készített tanúsítványaikat a céljaik eléréséhez.

A Netcraft kutatói arról számoltak be, hogy az egyik vizsgálatuk során számos olyan tanúsítványra akadtak, amelyek első ránézésre neves bankokhoz, szolgáltatókhoz, kereskedelmi vállalatokhoz vagy éppen közösségi oldalakhoz tartoznak. Amikor közelebbről is szemügyre vették azokat, akkor kiderült, hogy valójában meglehetősen precízen összeállított, de önaláírt, nem hiteles SSL-tanúsítványokról van szó.

A biztonsági cég hangsúlyozta, hogy a most feltárt tanúsítványok az asztali és a hordozható számítógépeken futtatott, modern webböngészők esetében nem jelentenek túl nagy kockázatot, ugyanis az alkalmazások jól látható figyelmeztetéseket jelenítenek meg. Viszont a hamis tanúsítványok azért képesek a kiberbűnözés céljait szolgálni, és átjutni a nem megfelelően kivitelezett programok, mobil alkalmazások biztonsági ellenőrzésein. Ennek kihasználásával a támadók egyebek mellett közbeékelődéses (man-in-the-middle) támadásokat hajthatnak végre. Amennyiben erre sor kerül, akkor az elkövetők "beékelődhetnek" a felhasználó és a célpontba állított rendszer közé, majd az adatforgalom lehallgatásával, manipulálásával károkat okozhatnak. Könnyen elképzelhető, hogy minderről a felhasználó csak akkor szerez tudomást, amikor már túl késő.

A Netcraft szerint a szóban forgó tanúsítványok között akadnak olyanok, amelyek a Google, a Facebook, valamint az Apple nevében készültek, de létezik olyan is, amely orosz bankok és elektronikus fizetési szolgáltatásokkal való visszaélésekre adhat lehetőséget. A támadások végrehajtásához azonban számos körülménynek kell teljesülnie. Először is a felhasználónak olyan alkalmazást kell futtatnia, amely nem ellenőrzi megfelelően a tanúsítványok érvényességét, hitelességét. Emellett pedig a támadónak valamilyen utón-módon be kell épülnie a felhasználó és a felkeresett webszerver közé. Ezt megteheti például WiFi hálózaton keresztül, névszerver beállítások manipulálásával vagy akár routerek kompromittálásával.

Kockázatos mobil alkalmazások

2012-ben a Stanford Egyetem kutatói egy felmérést készítettek különféle asztali és mobil alkalmazások bevonásával. Akkor kiderült, hogy az SSL-tanúsítványok érvényességének ellenőrzése sok szoftver és alkalmazáskönyvtár esetében igencsak hiányos. Ezáltal megannyi program megtéveszthető volt - különösebb bonyodalom nélkül létrehozható - önaláírt tanúsítványokkal.

A legfrissebb kutatások azt mutatják, hogy a helyzet azóta sem sokat változott. A Leibniz és a Philipps Egyetemeken elvégzett vizsgálatok során 13.500 androidos alkalmazás került górcső alá, amelyek közül 1074 volt problémás az SSL támogatását illetően. Ezek vagy érvényesnek minősítették az önaláírt tanúsítványokat, vagy olyan tanúsítványokat is elfogadtak, melyek nem is ahhoz a domainhez tartoztak, amit az adott alkalmazás megpróbált elérni. Az IOActive biztonsági cég nem régi kutatása pedig azt mutatta, hogy a szemügyre vett hatvan darab iOS kompatibilis banki alkalmazás 40 százaléka nem ellenőrizte megfelelően a digitális tanúsítványokat, és ilyen módon sérülékeny volt a közbeékelődéses támadásokkal szemben.

A hamis tanúsítványok elleni védekezés webböngészőkkel viszonylag egyszerű a figyelmeztetéseknek köszönhetően, azonban a mobil alkalmazások esetében már sokkal nehezebb észrevenni az esetleges közbeékelődéses támadásokat.